Декабрь для безопасников выдался насыщенным. Нашумевшая уязвимость Log4j, умные часы и приложения, которые следят за вашими детьми внимательнее вас, блокировка Тора и многое другое — всё это под катом.
Та самая Log4j
Начнём сразу с козырей. В пятницу 10 декабря Apache выпустила фикс к критической (10/10 CVSS) уязвимости нулевого дня в библиотеке Log4j. «Критической» — это ох как мягко сказано. Кто-то назвал Log4j «ИБ-Хиросимой», и вот это мне уже кажется более точным.
Позже выяснится, что уязвимостью пользуются с самого начала декабря. Первые эксплойты заметили уже 1 числа, а с 9 декабря исследователи Sophos насчитали сотни тысяч попыток.
Уязвимость, известная как CVE-2021-44228 и Log4Shell/LogJam, позволяет одной простой строчкой захватить сервер и выполнять произвольный код. Проблема может затронуть все Java-проекты, использующие фреймворки Apache Struts, Apache Solr, Apache Druid или Apache Flink.
Самый неожиданный пример потенциальной жертвы — беспилотный вертолет Ingenuity, весной этого года посетивший Марс. Ноги человека на далекой красной планете пока не было, зато свой первый «нулевой день» мы туда уже доставили. Впечатляющее достижение научного прогресса, конечно.
Если попытаюсь хоть сколько-нибудь подробно описать ущерб от Log4j, меня неизбежно остановит лимит на максимальную длину поста. Буду лаконичен: по данным исследователей из Check Point, к вечеру понедельника 13 декабря 40% всех мировых корпоративных сетей испытали на себе попытку эксплойта Log4j.
Россия на графике, предполагаю, считается под Europe — 42.2% затронутых сетей.
Чего там в атаках только не было: от DDoS-ботнетов и криптомайнеров Mirai, Muhstik и Kinsing до крякнутого набор инструментов для пентеста Cobalt Strike, который в руках хакеров стал бэкдором. Отметились и известные группировки вроде Conti.
До сих пор ждут появления Log4j-червя, разработку которого исследователи замечали за несколькими хакерскими командами. В первые дни разработчиков наверняка сковывало время — сервера массово патчили как ИБ-команды, так и другие хакеры, после взлома блокировавшие доступ конкурентам. А теперь не исключено, что на серверах особо ценных жертв успели за это время спрятать множество пока не замеченных бэкдоров, о которых мы ещё услышим.
Log4J начала стремительно мутировать — через несколько дней после первого патча появилось больше 60 новых мутаций Log4j, многие из которых работают как против HTTP, так и против HTTPS. Некоторые из этих вариантов ухитрялись обходить существующую защиту, поэтому исследователи советовали накатывать несколько слоёв, чтобы наверняка. Патч и вакцину, например.
К слову о патчах: Apache выпустила несколько. Первый не только не помогал проектам с некоторыми нестандартными конфигурациями, но и добавлял ещё две уязвимости. Одна позволяла организовывать против уязвимых серверов ДоСы, вторая — извлекать из пропатченных серверов ценные данные.
Прямо перед Рождеством исследователи порадовали нас новыми открытиями. Новые уязвимости нашли теперь в Apache HTTPD: CVE-2021-44790 и CVE-2021-44224. Первая связана с возможностью переполнения буфера, вторая — с разыменованием нулевого указателя. Из угроз, например, RCE и DoS-атаки. Патч уже есть, так что стоит обновиться.
HTTPD по своей вездесущности не сильно уступает Log4j, и исследователи предрекают скорую волну эксплойтов уже этих уязвимостей. Весёлый конец года выдался.
Безопасность детей не только в ваших руках
Сказка древняя, как само время: технология, созданная для безопасности, сама же и создает для нее угрозы.
Исследователи проанализировали безопасность четырех популярных умных часов для детей: Elari Kidphone 4G, Wokka Lokka Q50, Elari FixiTime Lite и Smart Baby Watch Q19. Результаты оказались весьма удручающими. В часах обнаружили предустановленные загрузчики, слабые пароли и незашифрованные передачи данных.
Большая часть часов собирает и передает данные пользователя на удаленные серверы, не особо интересуясь его разрешением. Среди этих данных, например, информация о SIM-карте и устройстве, данные геолокации, контакты телефонной книги, список установленных приложений, количество SMS и история телефонных звонков.
Скрытый же в этих часах Android.DownLoader.3894 могут использовать для кибершпионажа, показа рекламы и установки нежелательных или даже вредоносных приложений.
Схожие проблемы нашли и в Life360 — приложении, которое помогает отслеживать местоположение членов семьи. Можно через него следить за безопасностью маленьких детей, например.
Из интервью с бывшими сотрудниками выяснилось, что приложение продает все собранные данные сторонним брокерам. Кому их потом передают эти самые брокеры и как их используют, уже неизвестно.
Компания отказалась прямо комментировать эти заявления, но де-факто их подтвердила: основатель заявил, что данные — важная часть бизнеса, позволяющая держать приложение бесплатным для большинства пользователей.
Что ж, как гласит древняя мудрость, если товар бесплатный, то настоящий товар — это вы.
Tor: луковое горе
Сначала Роскомнадзор взялся заблокировать Tor — то есть, все IP-адреса, которые используют луковый браузер и связанные с ним системы. В ответ команда Tor опубликовала на своем сайте обращение к пользователям из России, в котором рассказала, как обойти блокировку. Роскомнадзор в итоге не стал блокировать IP-адреса, вместо этого ограничив доступ только к главной странице сайта Tor Project.
Ещё выяснилось, что с как минимум 2017 года некто загадочный KAX17 держал сотни зловредных Tor-ретрансляторов. Предполагается, что их цель — отслеживать и деанонимизировать пользователей Тора. Сотни таких ретрансляторов Tor Project свернул в октябре и ноябре этого года. Какие-то, по всей видимости, действуют и сейчас.
На пике зловредов было 900 — для сравнения, в среднем в сети ежедневно активно от 9 до 10 тысяч серверов. Исследователь рассказал, что на этом пике каждый пользователь Тора имел 16% вероятность подключиться к зловреду на входе, 35% шанс пройти через один из таких «защитных» (middle) ретрансляторов и 5% шанс поймать что-то на выходе.
Pegasus долетел до США
Напомню, в ноябре Apple подала в суд на израильскую NSO Group, производителя шпионского софта Pegasus. Ещё объявила, что теперь будет присылать уведомления всем, на чьем телефоне заметит потенциальные следы активности Пегасуса. Первые такие уведомления сразу после этого и разослали.
А в начале декабря Apple прислала их 9 сотрудникам Госдепартамента США. Всех жертв объединяет лишь работа, связанная с Угандой. NSO Group сразу заявила, что уже перекрыла этим клиентам доступ к Пегасусу и изучает атаки.
Если мне не изменяет память, NSO Group говорила летом, что не знает, за кем именно следят ее клиенты — не хранит такой информации. Ещё в саму программу вшита невозможность атак на американские номера (начинаются с +1).
Напрашиваются два очевидных вопроса. Как тогда эти клиенты умудрились провести такие атаки, если их невозможность вшита в сам Пегасус? И как NSO Group так быстро определила, кто именно из её клиентов стоит за этими атаками, если таких данных они не хранят? То ли я уже запутался в этом причудливом лоре, то ли кто-то заврался.
Злоключения WordPress
К 10 декабря аналитики обнаружили массовую волну атак, исходящих с 16 000 IP-адресов и нацеленных на более 1,6 миллиона сайтов WordPress. В основном злоумышленники обновляли параметр users_can_register, чтобы он был включен, и устанавливали для параметра default_role значение administrator.
Чтобы проверить, не был ли ваш сайт взломан, просмотрите все учетные записи пользователей и поищите какие-либо мошеннические дополнения, которые следует немедленно удалить.
Затем просмотрите настройки сайта по адресу /wp-admin/options-general.php и обратите внимание на членство и настройку роли нового пользователя по умолчанию.
Кроме этой атаки, в декабре засекли эксплойты уязвимости в плагине All in one SEO. Плагин один из самых популярных — им пользуется более 3 миллионов проектов. Но в некоторых его версиях есть две критические уязвимости, позволяющие любому пользователю захватить сайт.
Для взлома достаточно иметь на сайте обычный пользовательский аккаунт: по умолчанию WordPress позволяет их создавать всем.
С помощью первой уязвимости можно подсадить на сайт бэкдор и поднять своему аккаунту права до администраторских. С помощью второй — через API-эндпоинт связаться с базой данных и вытянуть из неё всё, что захочется, включая логины и пароли пользователей.
Исследователи советуют обновиться до последней версии, в которой эти уязвимости устранены. Ещё рекомендуют проверить, не появилось ли на сайте подозрительных админских аккаунтов, сменить все пароли и добавить к администраторской панели дополнительную защиту. Не думаю, правда, что стоит ради этого докручивать к сайту ещё плагинов — мало ли что…